🗓️ Contexte

Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source.

📈 Tendance principale : volume et qualité en hausse simultanée

Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé :

  • Le taux de soumission est désormais environ deux fois supérieur à celui de 2025, lui-même déjà deux fois supérieur aux années précédentes
  • Le taux de vulnérabilités confirmées est revenu au niveau pré-IA de 2024, soit 15-16%
  • La part de rapports identifiant des bugs (non-vulnérabilités mais problèmes réels) est significativement plus élevée qu’avant
  • Quasi tous les rapports utilisent désormais l’IA à divers degrés (style rédactionnel, duplicatas détaillés impossibles à produire manuellement)

🌐 Phénomène universel dans l’open source

Un sondage informel sur Mastodon a confirmé la même tendance dans de nombreux projets :

Apache httpd, BIND, Django, Elasticsearch Python client, Firefox, git, glibc, GnuTLS, GStreamer, Haproxy, Immich, libssh, libtiff, Linux kernel, OpenLDAP, PowerDNS, Python, Prometheus, Ruby, Sequoia PGP, strongSwan, Temporal, Unbound, urllib3, Vikunja, Wireshark, wolfSSL

⚠️ Impact attendu sur curl

  • La version curl 8.20.0 (fin avril 2026) devrait annoncer au moins six nouvelles vulnérabilités
  • Une projection de ~50 CVE curl pour l’année 2026 est évoquée, ce qui constituerait un record absolu

🔴 Implications pour la surface d’attaque globale

  • Les acteurs malveillants peuvent utiliser les mêmes outils IA pour découvrir ces vulnérabilités avant que les correctifs ne soient déployés
  • La surcharge des mainteneurs est aggravée par ce volume sans augmentation des ressources humaines
  • Le délai de mise à jour des utilisateurs finaux reste un facteur aggravant structurel

📌 Nature de l’article

Il s’agit d’une analyse de tendance rédigée par un acteur clé de l’écosystème open source, visant à documenter et partager une évolution structurelle de la recherche en sécurité assistée par IA, avec des données empiriques issues du programme bug bounty de curl.

🔴 Indice de vérification factuelle : 25/100 (basse)

  • ⬜ daniel.haxx.se — source non référencée (0pts)
  • ✅ 4102 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://daniel.haxx.se/blog/2026/04/22/high-quality-chaos/